3
DHCP Snooping + OPNSense DHCP Relay (Netgear)
Hallo,
Ich hab hier ein kleines Netz mit 4 VLans und einem Windows DHCP Server. Eine OPNSense übernimmt das DHCP Relay.
Ich würde jetzt gerne DHCP Snooping an den Switchen Aktiviren:
https://kb.netgear.com/21815/How-do-I-configure-Dynamic-Host-Configurati ...
1. Ich Aktiviere also den DHCP-Snooping-Modus
2. Ich Setze die VLans auf Enable
3. Ich setze den Port auf Trust an dem der DHCP -Server hängt.
Bei 3. die Frage, den Port an dem der DHCP Hängt oder auch der Port des DHCP-Relay, also die OPNsense, oder nur der Port der OPNsense?
Des weiteren haben wir am "Hauptswitch" noch weitere Switche, sehe ich das richtig das ich nur den Uplink Port zum Hauptswitch auf Trust setzen muss?
Rate Limit(pps) und Burst Interval(secs) nimmt man das was Netgear im Bild eingestellt hat?
Danke und Grüße
Ich hab hier ein kleines Netz mit 4 VLans und einem Windows DHCP Server. Eine OPNSense übernimmt das DHCP Relay.
Ich würde jetzt gerne DHCP Snooping an den Switchen Aktiviren:
https://kb.netgear.com/21815/How-do-I-configure-Dynamic-Host-Configurati ...
1. Ich Aktiviere also den DHCP-Snooping-Modus
2. Ich Setze die VLans auf Enable
3. Ich setze den Port auf Trust an dem der DHCP -Server hängt.
Bei 3. die Frage, den Port an dem der DHCP Hängt oder auch der Port des DHCP-Relay, also die OPNsense, oder nur der Port der OPNsense?
Des weiteren haben wir am "Hauptswitch" noch weitere Switche, sehe ich das richtig das ich nur den Uplink Port zum Hauptswitch auf Trust setzen muss?
Rate Limit(pps) und Burst Interval(secs) nimmt man das was Netgear im Bild eingestellt hat?
Danke und Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 34080710089
Url: https://administrator.de/contentid/34080710089
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
3 Kommentare
Neuester Kommentar
Bei 3. die Frage, den Port an dem der DHCP Hängt
Ja, einzig nur der Port an dem der DHCP Server hängt. Die Requests werden ja immer geforwardet aber die Replies (Server) werden an untrusted Ports immer geblockt. Man will ja gerade verhindern das "wilde" DHCP Server Chaos ins Netz bringen. 
sehe ich das richtig das ich nur den Uplink Port zum Hauptswitch auf Trust setzen muss?
Ja, das ist auch richtig. Es muss nur an den Uplinks der Access Switches gemacht werden. Ist ja quasi genau das gleiche Szenario wie am Hauptswitch wo der DHCP Serverport auf Trusted gesetzt wird.Aus Sicht des Access Switches kommen ja die DHCP Replies am Uplink Port an und dort muss der Port auf Trusted gesetzt sein damit die Replies inbound passieren dürfen. Ist quasi so als ob der Server am Uplink Port ist. Einfache Logik...
1
Danke,
ich muss mich dann noch mal mit DHCP beschäftigen ;).
https://www.ionos.de/digitalguide/server/konfiguration/dhcp-das-client-s ...
Bedeutet also, ich fasse das mal für mich zusammen :D. Die Clients schicken eine DHCP anfrage ins Netz. Alle DHCP Server hören auf Port 67 zu und geben auch eine Antwort. Der Switch mit DHCP Snooping lässt aber nur die Antwort des "Trusted" ports zu. Damit diese Antwort dann auch bei den anderen ankommt muss jeweils auch hier der Port die Antwort zu lassen... Okay. Sorry, aber macht Sinn :D.
Danke dir.
ich muss mich dann noch mal mit DHCP beschäftigen ;).
https://www.ionos.de/digitalguide/server/konfiguration/dhcp-das-client-s ...
Bedeutet also, ich fasse das mal für mich zusammen :D. Die Clients schicken eine DHCP anfrage ins Netz. Alle DHCP Server hören auf Port 67 zu und geben auch eine Antwort. Der Switch mit DHCP Snooping lässt aber nur die Antwort des "Trusted" ports zu. Damit diese Antwort dann auch bei den anderen ankommt muss jeweils auch hier der Port die Antwort zu lassen... Okay. Sorry, aber macht Sinn :D.
Danke dir.
Alles richtig zusammengefasst! 👍
Guckst du auch hier.
Guckst du auch hier.
